Souveraineté numérique: quatre décisions à ne pas repousser
En 2025, la souveraineté numérique et la sécurité des données figuraient à l’ordre du jour de la plupart des entreprises suisses. En 2026, il s’agit désormais de prendre des décisions concrètes: où avons-nous besoin d’un contrôle absolu et où acceptons-nous des dépendances parce qu’elles nous font bénéficier de l’innovation?
23 décember 2025, Texte Lukas Hebeisen, Head of Cloud, Swisscom &Tanja Dujic, Marketing Manager, Swisscom, Image: Swisscom
4 min
Dans mes échanges avec des responsables IT, j’entends la même question depuis deux ans: de quel niveau de souveraineté avons-nous vraiment besoin – et à partir de quand tombe-t-on dans la sur-réglementation?
Ma réponse reste toujours la même: la souveraineté n’est pas une question de tout ou rien. C’est une question de décisions conscientes. Il est utile de garder en tête que les entreprises suisses se trouvent aujourd’hui dans un champ de tension qui n’existait pas sous cette forme il y a cinq ans. D’un côté: les hyperscalers américains avec une très grande vitesse d’innovation. De l’autre: les réglementations européennes et les incertitudes géopolitiques, qui font de chaque décision cloud une question stratégique.
Le Cloud Act américain de 2018 donne aux autorités des États-Unis le droit de demander des données à des entreprises américaines – même si ces données sont stockées sur des serveurs en Suisse. Dans la pratique, cela arrive rarement et uniquement en cas de soupçon concret d’infraction pénale. Mais le risque juridique existe, et pour beaucoup de responsables conformité, cela suffit.
En Suisse, les exigences ont été renforcées en novembre 2025 lors de la conférence des préposés suisses à la protection des données(ouvre une nouvelle fenêtre) «privatim»: les autorités publiques ne devraient plus utiliser de services SaaS internationaux pour des données sensibles que si un chiffrement de bout en bout est en place et que le fournisseur n’a pas accès aux clés. De nombreux services américains courants ne remplissent pas ces critères.
Pour l’instant, ces prescriptions ne s’appliquent qu’au secteur public. Mais les secteurs régulés – banques, assurances, santé – s’alignent en général sur les standards de l’administration.
Quatre décisions qui s’imposent maintenant
À partir des projets menés avec des entreprises de différents secteurs, j’identifie quatre décisions que les directions informatiques et les comités de direction doivent prendre aujourd’hui.
Gérer consciemment le lock-in
Aucune entreprise n’est totalement indépendante – et elle n’a pas besoin de l’être. La vraie question est: quel niveau de dépendance est acceptable pour votre modèle d’affaires?
Un hyperscaler dominant apporte rapidité, écosystème et innovation. Mais il apporte aussi une dépendance en matière de prix, de technologie et de juridiction. Les architectures multi-cloud créent des options de repli, mais augmentent également la complexité et l’effort de gouvernance.
L’enjeu n’est pas d’éviter tout lock-in. L’enjeu est de décider consciemment là où vous l’acceptez – et là où vous ne le faites pas.
Établir une cartographie des données
Beaucoup d’entreprises n’ont qu’une idée approximative de l’endroit où se trouvent réellement leurs données critiques. Les contrats cloud ont été signés il y a des années, les volumes de données ont augmenté, la vue d’ensemble s’est perdue.
Sans cartographie claire des données, toute discussion sur la souveraineté reste abstraite.
- Quelles données sont critiques pour l’entreprise?
- Lesquelles sont des données personnelles?
- Lesquelles sont particulièrement protégées par la réglementation?
- Où sont-elles stockées, traitées, répliquées – et sous quelle juridiction?
Cette transparence est la condition préalable à toute autre décision.
Repenser l’architecture cloud
La question n’est plus « le cloud, oui ou non ? ». Elle devient : comment combiner une base souveraine avec des capacités cloud globales ?
En pratique, un modèle s’impose : les charges de travail critiques et les données sensibles fonctionnent sur des plateformes souveraines en Suisse. Le développement, l’innovation et les applications moins sensibles s’appuient sur des services de cloud public. L’ensemble est piloté par un modèle unifié de sécurité et de gouvernance.
La souveraineté ne découle pas uniquement de l’emplacement d’un centre de données. Elle naît de l’architecture, des processus et de responsabilités clairement définies.
Garantir la capacité de sortie (exit)
58 % des entreprises suisses citent la dépendance aux hyperscalers comme leur principale source de préoccupation. Mais combien d’entre elles disposent d’un plan d’exit réellement opérationnel?
La capacité de sortie ne signifie pas changer de fournisseur demain matin. Elle signifie être en mesure de le faire en cas de besoin – sans mettre l’exploitation en danger. Cela demande des interfaces documentées, des formats de données portables et des scénarios de migration testés.
Gouvernance: qui porte la responsabilité?
La souveraineté numérique n’est pas un sujet réservé à l’IT. Elle concerne tout autant la stratégie d’entreprise, la gestion des risques, la conformité, la sécurité et les opérations.
La question décisive est la suivante: qui, dans votre organisation, est réellement responsable aujourd’hui – et dispose également du mandat pour stopper des décisions lorsque la souveraineté est menacée?
Si la responsabilité reste diffuse, ce sont d’autres acteurs qui finiront par prendre les décisions à votre place: fournisseurs, unités métier ou objectifs de projet à court terme.